本文將告訴您,如何使用 Ntdsutil.exe 公用程式傳輸或抓取性單一主機操作 (FSMO) 角色。
某些網域和企業的操作,是藉由 Active Directory
網域或樹系中單一網域控制站而執行,並不適合多主機的更新。而指派於執行這些特殊操作的網域控制站,則稱為操作主機或 FSMO
角色持有者。
下列清單說明在 Active Directory 樹系中的 5 種特殊 FSMO 角色,以及這些角色所執行的相依操作:
- 架構主機 - 架構主機角色範圍涵蓋整個樹系,每個樹系都有一個架構主機角色。您必須有這個角色才能擴充 Active
Directory 樹系的架構,或執行 adprep /domainprep 命令。
- 網域命名主機 -
網域命名主機角色範圍涵蓋整個樹系,每個樹系都有一個網域命名主機角色。您必須有這個角色才能將網域或應用程式磁碟分割新增到樹系
(或從樹系移除)。
- RID 主機 - RID 主機角色範圍涵蓋整個網域,每個網域都有一個 RID 主機角色。您必須有這個角色才能配置
RID 集區,讓新的或現有的網域控制站能建立使用者帳戶、電腦帳戶或安全性群組。
- PDC 模擬器 - PDC 模擬器角色範圍涵蓋整個網域,每個網域都有一個 PDC
模擬器角色。您必須有這個角色,才能讓網域控制站將資料庫更新傳送到 Windows NT
備份網域控制站。此外,擁有該角色的網域控制站也會被特定的管理工具以及使用者帳戶與電腦帳戶密碼的更新鎖定。
- 基礎結構主機 - 基礎結構主機角色範圍涵蓋整個網域,每個網域都有一個基礎結構主機角色。
您必須擁有這個角色,才能讓網域控制站順利執行 adprep /forestprep 命令,並且更新 SID 屬性和各網域參照物件的辨別名稱屬性。
Active Directory 安裝精靈 (Dcpromo.exe) 會將這 5 種 FSMO
角色指派給樹系根網域的第一個網域控制站。每一個新的子網域或樹網域中的第一個網域控制器,都會指派三個涵蓋整個網域的角色。除非使用下列方法重新指派 FSMO
角色,否則網域控制站會持續擁有 FSMO 角色:
- 系統管理員以 GUI 系統管理工具重新指派角色。
- 系統管理員以 ntdsutil /roles 命令重新指派角色。
- 系統管理員以 Active Directory
安裝精靈,緩和地將持有角色的網域控制站降級。該精靈會將所有本機持有的角色重新指派給樹系中現有的網域控制站。利用 dcpromo /forceremoval 命令所執行的降級,會讓 FSMO 角色處於無效的狀態,直到系統管理員重新指派角色為止。
建議您在下列情況中傳輸 FSMO 角色:
- 目前的角色持有者可以正常操作,並且可供新的 FSMO 擁有者透過網路存取。
- 您正緩和地將網域控制站降級,該控制站目前擁有您要指派給 Active Directory 樹系中,特定網域控制站的
FSMO 角色。
- 目前擁有 FSMO 角色的網域控制站將要離線以進行排定維護,而您需要特定的 FSMO
角色以指派給「現用」網域控制站。這可能需要執行與 FSMO 擁有者進行連線的作業。尤其是 PDC 模擬器角色特別符合這種情形,而 RID
主機角色、網域命名主機角色和架構主機角色則比較不一定。
建議您在下列情況中抓取 FSMO 角色:
- 目前的角色持有者正發生操作上的錯誤,此錯誤讓 FSMO 相依操作無法順利完成,且無法傳輸該角色。
- 利用 dcpromo /forceremoval 命令,強制將擁有 FSMO 角色的網域控制站降級。
- 原本擁有特定角色的電腦之作業系統已不存在,或是已重新安裝。
進行複寫時,網域或樹系中的非 FSMO 網域控制站會獲得所有變更的完整訊息,而這些變更是由持有 FSMO 的網域控制站所做。
如果您必須傳輸角色,最佳的網域控制站選擇就是處於上次輸入複寫的適當網域之控制站,或是最近從現有的角色持有者輸入複寫「FSMO
磁碟分割」可寫入複本的控制站。例如,架構主機角色持有者擁有 CN=schema,CN=configuration,dc=<樹系根網域>
的辨別名稱路徑,這意味著角色存在於其中,並且受複寫為 CN=schema
磁碟分割的一部分。如果擁有架構主機角色的網域控制站發生硬體或軟體錯誤,比較適合的角色持有者選擇是根網域和同一 Active Directory
站台中,做為目前擁有者的網域控制站。在同一 Active Directory 站台中的網域控制站,每 5 分鐘或每 15 秒會執行一次輸入複寫。
每個 FSMO 角色的磁碟分割列於下列清單中:
摺疊此表格展開此表格
| FSMO 角色 | 磁碟分割 |
| 架構 | CN=Schema,CN=configuration,DC=<樹系根網域> |
| 網域命名主機 | CN=configuration,DC=<樹系根網域> |
| PDC | DC=<網域> |
| RID | DC=<網域> |
| 基礎結構 | DC=<網域> |
其中的 FSMO
角色已受到抓取的網域控制站,不得與樹系中現有的網域控制站進行通訊。在這種情況中,您必須在這類網域控制站格式化硬碟並重新安裝作業系統,或在私人網路強制將這類網域控制站降級,然後利用
ntdsutil /metadata cleanup 命令,在樹系剩下的網域控制站移除它們的中繼資料。如果繼續使用之前已經抓取到樹系中的 FSMO
角色持有者,則可能有原角色持有者照先前方式運作的風險,直到該持有者輸入複寫角色抓取的資訊為止。兩個網域控制站擁有相同的 FSMO
角色,其已知的風險包括會建立擁有 RID 集區重疊和其他問題的安全性原則。
傳輸 FSMO 角色
如果要使用 Ntdsutil 公用程式傳輸 FSMO 角色,請執行下列步驟:
- 登入 Windows 2000 Server 或 Windows Server 2003 成員電腦或樹系 (要傳輸
FSMO 角色的地方) 中的網域控制站。建議您登入要指派 FSMO
角色的網域控制站。登入的使用者必須是要傳輸架構主機,或網域命名主機角色的企業系統管理員群組成員;或正要傳輸 PDC 模擬器、RID
主機和基礎結構主機等角色,其所在網域的網域系統管理員群組之成員。
- 按一下 [開始],按一下 [執行],在
[開啟] 方塊中輸入 ntdsutil,然後按一下
[確定]。
- 輸入 roles,再按下 ENTER。
注意 如果要在 Ntdsutil 公用程式所有提示字元中,查看可用的命令清單,請輸入
?,然後按下 ENTER。 - 輸入 connections,再按下 ENTER。
- 輸入 connect to server
servername,然後按 ENTER,其中
servername 是您要指派 FSMO 角色的網域控制站之名稱。
- 在 server connections 提示字元中輸入
q,然後按下 ENTER。
- 輸入 transfer
role,其中 role
是您要傳輸的角色。如需可以傳送的角色之清單,請在 fsmo maintenance 提示字元中輸入
?,然後按下 ENTER;或直接查看本文件開頭所列的角色清單。例如,如果要傳輸 RID 主機角色,請輸入
transfer rid master。唯一的例外是 PDC 模擬器角色,該角色的語法是
transfer pdc,並非 transfer pdc
emulator。
- 請在 fsmo maintenance 提示字元中輸入
q,然後按下 ENTER,獲得存取 ntdsutil 提示字元的權限。輸入
q,然後按下 ENTER,結束 Ntdsutil 公用程式。
抓取 FSMO 角色
如果要使用 Ntdsutil 公用程式抓取 FSMO 角色,請執行下列步驟:
- 登入 Windows 2000 Server 或 Windows Server 2003 成員電腦或樹系 (要抓取
FSMO 角色的地方) 中的網域控制站。建議您登入要指派 FSMO
角色的網域控制站。登入的使用者必須是要傳輸架構主機,或網域命名主機角色的企業系統管理員群組成員;或正要傳輸 PDC 模擬器、RID
主機和基礎結構主機等角色,其所在網域的網域系統管理員群組之成員。
- 按一下 [開始],按一下 [執行],在
[開啟] 方塊中輸入 ntdsutil,然後按一下
[確定]。
- 輸入 roles,再按下 ENTER。
- 輸入 connections,再按下 ENTER。
- 輸入 connect to server
servername,然後按 ENTER,其中
servername 是您要指派 FSMO 角色的網域控制站之名稱。
- 在 server connections 提示字元中輸入
q,然後按下 ENTER。
- 輸入 seize
role,其中 role
是您要抓取的角色。如需可以抓取的角色之清單,請在 fsmo maintenance 提示字元中輸入
?,然後按下 ENTER;或直接查看本文件開頭所列的角色清單。例如,如果要抓取 RID 主機角色,請輸入
seize rid master。唯一的例外是 PDC 模擬器角色,該角色的語法是
seize pdc,並非 seize pdc emulator。
- 請在 fsmo maintenance 提示字元中輸入
q,然後按下 ENTER,獲得存取 ntdsutil 提示字元的權限。輸入
q,然後按下 ENTER,結束 Ntdsutil 公用程式。
注意- 在一般情況下,這 5 種角色全都必須指派到樹系「現用」的網域控制站中。如果擁有 FSMO
角色的網域控制站已在其角色傳輸前終止服務,您必須將所有角色抓取到適當且運作正常的網域控制站中。建議您只在其他網域控制站尚未返回網域時抓取所有的角色。如果可以的話,請修復有指派
FSMO 角色的 故障網域控制站。您必須決定要留在其餘網域控制站的角色,如此才能讓這 5 個角色都指派到單一的網域控制站。
如需有關 FSMO 角色放置的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
223346?
(http://support.microsoft.com/kb/223346/
)
在 Windows 2000 網域控制站上安置與最佳化 FSMO
- 如果原先持有任何 FSMO
角色的網域控制站不在網域中,且已利用本文件說明的步驟抓取其中的角色,請按照下列「Microsoft 知識庫」文件說明的程序,從 Active
Directory 移除該控制站:
216498?
(http://support.microsoft.com/kb/216498/
)
HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
- 使用 Windows 2000 版本或 Windows Server 2003 組建 3790 版本的 ntdsutil /metadata cleanup 命令移除網域控制站的中繼資料,並不會將指定到現用網域控制站的 FSMO 角色重新定位。Windows Server 2003
Service Pack 1 (SP1) 版本的 Ntdsutil 公用程式會自動化這個工作,並且移除網域控制站中繼資料的額外元素。
- 某些客戶比較喜歡不還原 FSMO
角色持有者的系統狀態備份,以避免在建立備份後發生角色已經重新指派的情況。
- 請勿將基礎結構主機角色放置在與通用類別目錄伺服器相同的網域控制站上。如果基礎結構主機是在通用類別目錄伺服器上執行,則會停止更新物件資訊,因為它不包含本身不持有之物件的參照。這是因為通用類別目錄伺服器會保留樹系中每個物件的部分複本。
如果要檢查網域控制站是否也是通用類別目錄伺服器:
- 按一下 [開始],依序指向 [程式集] 及
[系統管理工具],再按一下 [Active Directory
站台及服務]。
- 按兩下左側窗格中的 [站台],然後找到適當的站台;如果沒有其他可用的站台,請按一下
[Default-first-site-name]。
- 開啟「伺服器」資料夾,然後按一下網域控制站。
- 在網域控制站的資料夾中,按兩下 [NTDS 設定]。
- 在 [執行] 功能表上,按一下
[內容]。
- 在 [一般] 索引標籤上,檢視 [通用類別目錄]
核取方塊,確認是否已選取。
如需有關 FSMO
角色的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197132?
(http://support.microsoft.com/kb/197132/
)
Windows 2000 Active Directory FSMO 角色
223787?
(http://support.microsoft.com/kb/223787/
)
Flexible Single Master Operation Transfer and Seizure Process
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
回此頁最上方
